ボット攻撃の手口を詰め込んだ偽Facebook通知メール

2011.03.30

　今回はボット関連の話題を中心に、3本のセキュリティブログを取り上げる。米ウェブセンスは、大手ソーシャルネットワーキングサービス（SNS）の「Facebook」からの通知を装った悪質な大量メール送信を確認した（Websense Security Labs Blog）。

　偽のFacebook通知メールは、実際には「Cutwail/Pushdo」というボットネットから発信されていると見られる。ソーシャルエンジニアリングとエクスプロイトキットという二つの攻撃手法を組み合わせ、ユーザーにトロイの木馬型マルウエア「Zeus/Zbot」をインストールさせようとする。

　偽装メールのFrom欄には「facebook.com」ドメインのメールアドレスが表示され、メッセージ本文には「あなたの画像コメントをとても気に入っている人がいます。こちらのリンクで全コメントを閲覧してください」といった内容の文章と、Facebookへのリンクに見せかけたURLが記載されている。

偽装メール（スペイン語）の画像

　リンクをクリックすると、Facebookのサイトに移動し、ユーザーはアップデートを実行するよう促される。しかし実際には、攻撃ページにリダイレクトされ、Zeus/Zbot亜種のダウンロードに誘導されている。

偽装Facebookサイト（スペイン語）の画像

　同時に、偽装Facebookサイトを表示している間、ユーザーのマシンはバックグラウンドで複数のぜい弱性に対する攻撃を受ける。これらは最も普及しているエクスプロイトキットの一つ「Blackhole」を使って仕込まれた攻撃で、いずれかが成功すればマシンにZeus/Zbotがインストールされることになる。

中国発ばかりじゃない、米国発のボットSkunkx

　次に、米アーバーネットワークスのブログ。同社が最近報告してきたDDoS攻撃を誘発するマルウエアは、ほとんどが中国由来だった。ところが今回、同社はブログで、米国発と思われる「Skunkx」ボットをで報告した。まだユーザー環境（in the wild）での攻撃事例がないため、どのようなターゲットを好むか、またボットネットの規模がどれくらいかは不明という。ソースコードやコントロールパネルもまだ確認していない。

　同社の分析によると、Skunkxは、UDPフラッド、SYNフラッド、HTTPフラッド、Slowloris攻撃といった手法を使ってDDoS攻撃を仕掛ける機能を持つ。感染経路には、USBデバイスのほか、米マイクロソフトの「MSN」サービスや米ヤフーの「Yahoo! Messenger」サービスを利用する。

　マシンに侵入すると「Commview」「TCPView」「Wireshark」などの解析ツールや、「QEMU」「VMWare」「VirtualPC」といった仮想化ソフトが存在しないか確認する。また、勝手にソフトウエアのダウンロード、インストール、アップデートあるいは削除を行う。また、米モジラのWebブラウザー「Firefox」の「SQLite」データベースに格納されているログイン情報を盗み出す。

　さらに、DDoSクライアント「DDoSer」や、「Blackshades」リモート管理ツール、「Metus」ボットやIRCボットを見つけると機能を停止させる。

　アーバーネットワークスはSkunkxの作成者について、ウクライナとマレーシアのサーバーを使っているらしいことから、アンダーグラウンドに通じた人物だろうと見ている。同社はレジストラーと協力し、攻撃者が使用していたドメイン名を閉鎖した。またボットによる通信を無効化する措置を実行する際に、ボット感染したホストを世界各地で確認。その大半が米国だったという。

アプリの数だけリスクが増える

　最後に一つ、スマートフォン関連の話題を紹介する。「大衆文化では、スマートフォンで1万種類のアプリケーションが使えることが純粋に良いことのように思われているが、それは違う。なぜなら、各アプリケーションは、ぜい弱性をはらんでいるからだ」――スロバキアのイーセットは、ワイアード誌オンライン版の記事に掲載された元CIA長官のMichael Hayden氏のこのような言葉を引用し、スマートフォン向けアプリケーションをインストールするリスクについてブログで説いている。

　すべてのアプリがサイバー攻撃に対してぜい弱であるかもしれない以上、アプリをスマートフォンにインストールする際には論理的にリスクと見返りを考えなければならないと、イーセットは忠告する。

　スマートフォンでオンラインバンキングやオンラインショッピングをする人、スマートフォンに仕事関係やプライベートな連絡先を入れている人は、もし悪質なアプリがインストールされていれば、すべての情報を危険にさらすことになる。所有している財産とその価値を確認してから、アプリをインストールすべきかどうか検討すべきだ。1年に数回しか使わないゲームのために、情報を潜在的なリスクにさらす必要があるかどうか、慎重に考えるべきだ。また、たとえアプリの作者が高い評価を得ている開発者でも、攻撃者がデバイスにアクセスすることを許すようなミスをしてしまう可能性もある。

　さらにイーセットは、車のガソリン残量について知らせてくれるアプリを例に挙げ、リスクの拡大を説明する。自動車にはコンピュータ制御システムが搭載されているが、ハッカーがこれらシステムを攻撃しようとしている事実に、自動車メーカーが注意を払っているようには見えない。車自体がサイバー攻撃に対して弱いうえに、スマートフォンにアプリをインストールすればリスクはさらに増す。アプリのおかげで素早く燃料補給できるのならいいが、アプリの知らせてくれる情報が大した成果を出さないなら、インストールする必要はないだろう。

　イーセットは、どんなアプリもインストールしてはいけないと言っているわけではないが、すべてのアプリが脆弱性をはらんでいることを心に留めておくべきだと強調する。しかし単純に娯楽性が高いということも、リスクに見合う場合がある。クオリティ・オブ・ライフ（生活の質）は重要であり、リスクを査定する方程式の正当な要素だ。しかし、方程式に当てはめてから、ちゃんと計算することを忘れてはならない。